AD域控服务器默认日志保存时间是多久?

AD域控服务器默认日志保存时间是多久?

我没有这个可以检查,因为我不是操作系统管理员。我猜想 Active Directory (AD) 中为日志存储设置了一些默认时间。我对用户登录/退出存储的日志特别感兴趣。我需要检查这些日志,因为一些 AD 用户已被删除,但我必须找出他们上次实际登录系统的时间。

答案1

默认墓碑寿命设置(天):

  • Windows 2000 或 Windows Server 2003 RTM:60
  • 服务器 2003 SP1:180
  • Server 2003 R2:60 或 180
  • Server 2003 SP2、Server 2003 R2 SP2 及更高版本:180
  • Windows Server 2008 及更高版本 180

确定实际系统的墓碑寿命设置:

dsquery * "cn=directory service,cn=windows nt,cn=services,cn=configuration,dc=<FQDN>" -scope base -attr tombstonelifetime

获取已删除的对象:

Ldifde -u -x -f <FileName.txt>

-u使用 Unicode 格式
-x包括已删除的对象(墓碑)

查找已删除的用户:

  • <FileName.txt>搜索\0ADEL字符串或时CN=Deleted Objects
  • 或使用 GUI:使用ldp.exe并查找CN=Deleted Objects

获取未删除用户的用户名和时间戳:

  dsquery * -limit 0 -filter "&(objectClass=User)(objectCategory=Person)" -attr sAMAccountName lastlogontimestamp

如果需要更多数据,请使用-attr *

要将收到的时间戳转换为日期,请使用以下命令:

w32tm /ntte 130722669980039000

输出:

151299 09:16:38.0039000 - 31.03.2015 12:16:38 (local time)

相关内容